Prospection commerciale : sanction de 525 000 euros à l’encontre de la société HUBSIDE.STORE
Le 4 avril 2024, la CNIL a sanctionné la société HUBSIDE.STORE d’une amende de 525 000 euros notamment pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées.
Le contexte
HUBSIDE.STORE procède à des campagnes de démarchage par téléphone et par SMS pour promouvoir les produits vendus dans ses boutiques (téléphones portables, ordinateurs, etc.). Les données des prospects démarchés sont achetées auprès de courtiers en données, éditeurs de sites de jeux-concours et de tests de produits.
Sur la base des constatations effectuées lors de contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que l’apparence trompeuse des formulaires de collecte mis en œuvre par les courtiers à l’origine de la collecte ne permettait pas de recueillir un consentement valide des personnes concernées. La société HUBSIDE.STORE ne pouvait donc procéder légalement à ses opérations de prospection par SMS (violation des dispositions de l’article L. 34-5 du code des postes et communications électroniques ou CPCE) et par téléphone (violation des dispositions de l’article 6 du règlement général sur la protection des données ou RGPD).
En outre, la formation restreinte a considéré que, lors de ses opérations de démarchage téléphonique, la société ne permettait pas aux personnes d’être suffisamment informés, en violation de l’article 14 du RGPD.
Elle a prononcé à son encontre une amende de 525 000 euros rendue publique. Cette amende a été prise en coopération avec les autorités de contrôle européennes concernées (Belgique, Italie, Espagne, Portugal) dans le cadre du guichet unique, HUBSIDE STORE traitant des données de clients et prospects de plusieurs États membres de l’Union européenne.
Le montant de cette amende, qui représente environ 2 % du chiffre d’affaires de la société, a notamment été décidé au regard de la gravité des manquements retenus et de la responsabilité endossée par l’organisme utilisant les données collectées. La formation restreinte a également tenu compte du fait que la société HUBSIDE.STORE avait massivement recours à la prospection commerciale.
Les manquements sanctionnés
Un manquement à l’obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique (article L.34-5 du CPCE)
Pour réaliser ses campagnes de démarchage par SMS, la société HUBSIDE.STORE achète des données de prospects auprès de plusieurs courtiers en données. La collecte de ces données est effectuée par les courtiers via des formulaires de participation à des jeux-concours ou à des tests de produits en ligne sur différents sites web.
La formation restreinte considère que l’apparence trompeuse de ces formulaires ne permet pas de recueillir un consentement libre et univoque, conforme aux exigences du RGPD, qui permettrait de fonder les opérations de prospection par SMS de la société.
Exemples de formulaires :
En effet, la mise en valeur des boutons entraînant la transmission de ses données à des fins de prospection commerciale (par leur taille, leur couleur, leur intitulé et leur emplacement), comparée aux liens hypertextes permettant de participer au jeu sans accepter cette transmission (d’une taille nettement inférieure et se confondant avec le corps du texte) pousse fortement les utilisateurs à accepter.
Il appartient à la société, en tant qu’utilisatrice des données recueillies, de s’assurer que les personnes concernées ont exprimé un consentement valide. À cet égard, la formation restreinte a relevé que, même si la société a imposé certaines exigences contractuelles à ses fournisseurs de données en amont, aucun contrôle effectif de ces exigences n’était opéré en aval. La CNIL a ainsi constaté une proportion importante de fichiers de prospects non conformes.
Un manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre (article 6 du RGPD)
S’agissant de la prospection commerciale par appels téléphoniques, la formation restreinte a rappelé que, si celle-ci peut être fondée sur l’intérêt légitime de la société, c’est à la condition que les personnes concernées, au moment de la collecte de leurs données, soient informées qu’elles pourront recevoir des offres de prospection commerciale de la part de cette société.
Or, la CNIL a constaté que les formulaires de jeux-concours à partir desquels les données des prospects étaient collectées ne mentionnaient pas systématiquement la société HUBSIDE.STORE dans la liste des partenaires susceptibles de démarcher les personnes concernées.
Un manquement à l’obligation d’information (article 14 du RGPD)
Les contrôles réalisés ont mis en évidence que les personnes démarchées par téléphone ne disposaient pas de toutes les informations nécessaires sur la collecte et l’utilisation de leurs données personnelles(par exemple, l’identité et les coordonnées de l’organisme, les objectifs d’utilisation des données, les durées de conservation, la source des données, leurs droits ou encore leur possibilité d’adresser une plainte à la CNIL).
La formation restreinte a rappelé que cette information était indispensable afin de permettre aux personnes concernées de pouvoir exercer leurs droits, par exemple celui d’accéder à leurs données, de les rectifier ou de s’opposer à des sollicitations ultérieures de manière simple et gratuite.